O fator humano da segurança cibernética: Lições do Pentágono

A grande maioria das empresas está mais exposta a ataques cibernéticos do que o necessário. Para fechar as lacunas em sua segurança, os CEOs podem seguir o exemplo das forças armadas dos EUA. Antes um colosso de TI vulnerável, ele está se tornando um operador hábil de redes bem defendidas. Hoje, os militares podem detectar e remediar invasões em questão de horas, se não minutos. Somente de setembro de 2014 a junho de 2015, ele repeliu mais de 30 milhões de ataques mal-intencionados conhecidos nos limites de suas redes. Do pequeno número que conseguiu passar, menos de 0,1% comprometeu os sistemas de alguma forma. Dada a sofisticação dos adversários cibernéticos dos militares, esse registro é um feito significativo. Uma lição importante da experiência militar é que, embora as atualizações técnicas sejam importantes, minimizar o erro humano é ainda mais crucial. Erros cometidos por administradores de rede e usuários - falhas na correção de vulnerabilidades em sistemas legados, configurações incorretas, violações de procedimentos padrão - abrem a porta para a grande maioria dos ataques bem-sucedidos. A abordagem dos militares para lidar com essa dimensão da segurança deve muito ao Almirante Hyman Rickover, o "Pai da Marinha Nuclear". Em seus mais de 60 anos de existência, o programa de propulsão nuclear que ele ajudou a lançar não sofreu um único acidente. Rickover concentrou-se intensamente no fator humano, cuidando para que os operadores de usinas de propulsão a bordo de embarcações movidas a energia nuclear fossem rigorosamente treinados para evitar erros e detectar e corrigir anomalias antes que se transformassem em sérios problemas de funcionamento. O Departamento de Defesa dos EUA tem adotado constantemente protocolos semelhantes aos de Rickover em sua luta para impedir ataques a seus sistemas de TI. Dois dos autores deste artigo, Sandy Winnefeld e Christopher Kirchhoff, estiveram profundamente envolvidos nesses esforços. O objetivo do artigo é compartilhar a abordagem do departamento para que os líderes empresariais possam aplicá-la em suas próprias organizações. Leitura adicional O perigo que vem de dentro Assim como o Departamento de Defesa, as empresas estão sob constante bombardeio de todos os tipos de fontes: estados-nação, sindicatos criminosos, cibervândalos, intrusos contratados por concorrentes inescrupulosos, insiders insatisfeitos. Os ladrões roubaram ou comprometeram o cartão de crédito ou as informações pessoais de centenas de milhões de clientes, inclusive os da Sony, Target, Home Depot, Neiman Marcus, JPMorgan Chase e Anthem. Eles conseguiram roubar informações proprietárias sobre depósitos de petróleo e gás de empresas de energia no exato momento em que as pesquisas geológicas foram concluídas. Eles roubaram estratégias de negociação de redes corporativas internas no período que antecedeu grandes negócios e dados de sistemas de armas de empreiteiras de defesa. E, nos últimos três anos, as invasões à infraestrutura essencial dos EUA - sistemas que controlam as operações nos setores químico, elétrico, de água e de transporte - aumentaram 17 vezes. Não é de se admirar, portanto, que o governo dos EUA tenha feito da melhoria da segurança cibernética nos setores público e privado uma prioridade nacional. Mas, como ressalta a recente invasão do Office of Personnel Management do governo federal, esse também é um desafio monumental. A jornada cibernética dos militares Em 2009, o Departamento de Defesa, como muitas empresas hoje, estava sobrecarregado com uma vasta gama de sistemas de TI e abordagens de segurança diferentes. Cada um de seus três ramos militares, quatro serviços uniformizados e nove comandos combatentes unificados funcionava há muito tempo como seu próprio centro de lucros e perdas, com grande poder de decisão sobre seus investimentos em TI. No total, o departamento contava com 7 milhões de dispositivos operando em 15.000 enclaves de rede, todos administrados por diferentes administradores de sistema, que configuravam suas partes da rede de acordo com padrões diferentes. Essa não era uma receita para segurança ou eficiência. Naquele ano, reconhecendo tanto as oportunidades de maior coerência quanto a necessidade de conter o aumento de incidentes prejudiciais, Robert Gates, então secretário de defesa, criou o U.S. Cyber Command. A TI colocou as operações de rede em todo o domínio .mil sob a autoridade de um oficial de quatro estrelas. Simultaneamente, o departamento começou a consolidar suas redes em expansão, reunindo os 15.000 sistemas em uma única arquitetura unificada chamada Joint Information Environment. O trabalho tem sido árduo, mas em breve navios, submarinos, satélites, espaçonaves, aviões, veículos, sistemas de armas e todas as unidades militares estarão conectados em uma estrutura comum de comando e controle que abrange todos os dispositivos de comunicação. O que antes era um amontoado de mais de 100.000 administradores de rede com diferentes cadeias de comando, padrões e protocolos está evoluindo para um quadro de defensores de rede de elite, gerenciado de forma rígida. Ao mesmo tempo, o Comando Cibernético dos EUA vem atualizando a tecnologia militar. Sensores sofisticados, análises e "pilhas de segurança" consolidadas - conjuntos de equipamentos que executam uma variedade de funções, incluindo análises de Big Data - estão dando aos administradores de rede uma visibilidade maior do que nunca. Agora, eles podem detectar rapidamente anomalias, determinar se elas representam uma ameaça e alterar a configuração da rede em resposta. A interconexão de redes anteriormente separadas apresenta novos riscos (por exemplo, que o malware possa se espalhar pelos sistemas ou que uma vulnerabilidade em um sistema permita que alguém roube dados de outro). Mas esses riscos são amplamente superados pelas vantagens: monitoramento central, defesas padronizadas, atualização fácil e reconfiguração instantânea no caso de um ataque. (As redes classificadas são desconectadas das redes não classificadas, é claro). O Departamento de Defesa dos EUA sofre 41 milhões de varreduras, sondagens e ataques por mês. Fonte: Relatório Norton 2013, Symantec No entanto, a arquitetura unificada e a tecnologia de ponta são apenas parte da resposta. Em quase todas as penetrações na rede .mil, as pessoas têm sido o elo fraco. O Estado Islâmico assumiu brevemente o controle do feed do Twitter do Comando Central dos EUA em 2015, explorando uma conta individual que não havia sido atualizada para a autenticação de fator duplo, uma medida básica que exige que os usuários verifiquem sua identidade por meio de senha mais um gerador de números de token ou chip criptografado. Em 2013, uma nação estrangeira fez uma farra de quatro meses dentro da rede não classificada da Marinha dos EUA, explorando uma falha de segurança em um site público que os especialistas de TI da Marinha conheciam, mas não conseguiram corrigir. A violação mais grave de uma rede classificada ocorreu em 2008, quando, violando o protocolo, um membro do Comando Central em uma base no Oriente Médio inseriu um pen drive carregado com malware diretamente em um computador de mesa seguro. Embora as recentes invasões mostrem que a segurança hoje não é perfeita, o desempenho humano e técnico dos administradores e usuários de rede das Forças Armadas é muito mais forte em várias medidas do que era em 2009. Uma referência são os resultados das inspeções de segurança cibernética dos comandos, cujos números aumentaram de 91 em 2011 para 285 em 2015. Embora os critérios de classificação tenham se tornado mais rigorosos, a porcentagem de comandos que receberam uma classificação de aprovação - provando que estão "prontos para a segurança cibernética" - aumentou de 79% em 2011 para mais de 96% este ano. As empresas também precisam lidar com o risco de erro humano. Os hackers penetraram no JPMorgan Chase explorando um servidor cujas configurações de segurança não haviam sido atualizadas para a autenticação de fator duplo. A exfiltração de 80 milhões de registros pessoais da seguradora de saúde Anthem, em dezembro de 2014, foi quase certamente o resultado de um e-mail de "spear phishing" que comprometeu as credenciais de vários administradores de sistema. Esses incidentes ressaltam o fato de que os erros ocorrem tanto entre os profissionais de TI quanto entre a força de trabalho em geral. Vários estudos mostram que a maior parte dos ataques pode ser evitada simplesmente corrigindo as vulnerabilidades conhecidas e garantindo que as configurações de segurança sejam definidas corretamente. Leitura adicional Veja sua empresa pelos olhos de um hacker A lição clara aqui é que as pessoas são tão importantes quanto, se não mais, do que a tecnologia. (A tecnologia, na verdade, pode criar uma falsa sensação de segurança.) Os defensores cibernéticos precisam criar "organizações de alta confiabilidade", desenvolvendo uma cultura excepcional de alto desempenho que minimize consistentemente os riscos. "Temos que ir além do foco apenas na parte tecnológica", disse o almirante Mike Rogers, que supervisiona o Comando Cibernético dos EUA. "Trata-se de ethos. Tem a ver com cultura. [Tem a ver com a forma como o senhor gerencia, treina e equipa sua organização, como a estrutura, os conceitos operacionais que aplica." A organização de alta confiabilidade O conceito de organização de alta confiabilidade, ou HRO, surgiu pela primeira vez em empresas em que as consequências de um único erro podem ser catastróficas. Por exemplo, companhias aéreas, o sistema de controle de tráfego aéreo, voos espaciais, usinas nucleares, combate a incêndios florestais e trens de alta velocidade. Nessas operações altamente técnicas, a interação de sistemas, subsistemas, operadores humanos e o ambiente externo frequentemente dão origem a desvios que precisam ser corrigidos antes que se tornem problemas desastrosos. Essas organizações estão muito longe de serem fábricas "enxutas" de melhoria contínua. Seus operadores e usuários não têm o luxo de aprender com seus erros. Operar com segurança uma tecnologia que é inerentemente arriscada em um ambiente perigoso e complexo exige mais do que investir na melhor engenharia e nos melhores materiais. As organizações de alta confiabilidade possuem uma profunda consciência de suas próprias vulnerabilidades, estão profundamente comprometidas com princípios operacionais comprovados e altos padrões, articulam claramente a responsabilidade e investigam de forma vigilante as fontes de falha. Michael Byers O programa de propulsão nuclear da Marinha dos EUA é, sem dúvida, a HRO com o mais longo histórico. Operar um reator nuclear em um submarino nas profundezas do oceano, sem comunicação com qualquer assistência técnica por longos períodos de tempo, não é pouca coisa. O Almirante Rickover implantou uma cultura rigorosa de excelência em todos os níveis da organização. (Ele se dedicou tanto a garantir que somente pessoas capazes de lidar com essa cultura entrassem no programa que, durante seus 30 anos no comando, entrevistou pessoalmente todos os oficiais que se candidataram a ingressar no TI - uma prática que todos os seus sucessores continuaram). No centro dessa cultura estão seis princípios interconectados, que ajudam a marinha a eliminar e conter o impacto do erro humano. 1. Integridade. Com isso, queremos dizer um ideal profundamente internalizado que leva as pessoas, sem exceção, a eliminar os "pecados de comissão" (desvios deliberados do protocolo) e a assumir imediatamente os erros. A marinha nuclear inculca isso nas pessoas desde o primeiro dia, deixando claro que não há segundas chances para lapsos. Dessa forma, não só é improvável que os trabalhadores tomem atalhos, mas também é muito provável que notifiquem imediatamente os supervisores sobre quaisquer erros, para que eles possam ser corrigidos rapidamente e não necessitem de longas investigações posteriores - após a ocorrência de um problema. Os operadores das usinas de propulsão relatam fielmente à sede técnica central do programa todas as anomalias que ultrapassam um limite mínimo de gravidade. Os oficiais de comando das embarcações são totalmente responsáveis pela saúde de seus programas, incluindo a honestidade nos relatórios. 2. Profundidade de conhecimento. Se as pessoas compreenderem completamente todos os aspectos de um sistema - incluindo a forma como foi projetado, suas vulnerabilidades e os procedimentos necessários para operá-lo - elas reconhecerão mais prontamente quando algo estiver errado e lidarão com qualquer anomalia de forma mais eficaz. Na marinha nuclear, os operadores são rigorosamente treinados antes de colocarem as mãos em uma usina de propulsão real e são supervisionados de perto até se tornarem proficientes. Depois disso, eles passam por monitoramento periódico, centenas de horas de treinamento adicional, além de exercícios e testes. Espera-se que os capitães dos navios monitorem regularmente o treinamento e informem sobre a proficiência da tripulação trimestralmente. 3. Conformidade de procedimentos. Nas embarcações nucleares, os trabalhadores devem conhecer - ou saber onde encontrar - os procedimentos operacionais adequados e segui-los à risca. Espera-se também que eles reconheçam quando uma situação ultrapassa os procedimentos escritos existentes e novos procedimentos são necessários. Uma das maneiras pelas quais a marinha nuclear maximiza a conformidade é por meio de seu amplo sistema de inspeções. Por exemplo, todos os navios de guerra passam periodicamente por rigorosos Exames de Salvaguarda do Reator Operacional, que envolvem testes escritos, entrevistas e observações das operações diárias e das respostas a emergências simuladas. Além disso, um inspetor do escritório regional da Naval Reactors pode subir a bordo sempre que um navio estiver no porto, sem aviso prévio, para observar as operações e a manutenção da usina de energia em andamento. O comandante do navio é responsável por quaisquer discrepâncias que o inspetor possa encontrar. 4. Backup forçado. Quando uma usina de propulsão nuclear está em operação, os marinheiros que realmente a controlam - mesmo aqueles que são altamente experientes - são sempre monitorados de perto pelo pessoal sênior. Qualquer ação que represente um alto risco para o sistema deve ser executada por duas pessoas, não apenas uma. E todos os membros da equipe, mesmo os mais jovens, têm o poder de interromper um processo quando surge um problema. 5. Uma atitude questionadora. Isso não é fácil de cultivar em qualquer organização, especialmente em uma com uma estrutura formal de hierarquia na qual o cumprimento imediato de ordens é a norma. Entretanto, essa mentalidade é inestimável: Se as pessoas forem treinadas para ouvir seus alarmes internos, procurar as causas e, em seguida, tomar medidas corretivas, as chances de evitar problemas aumentam drasticamente. Os operadores com atitudes questionadoras verificam duas e três vezes o trabalho, permanecem atentos a anomalias e nunca se satisfazem com uma resposta que não seja muito completa. O simples fato de perguntar por que as leituras horárias de um instrumento obscuro entre cem estão mudando de forma anormal ou por que uma rede está apresentando um determinado comportamento pode evitar danos dispendiosos a todo o sistema. 6. Formalidade na comunicação. Para minimizar a possibilidade de que as instruções sejam dadas ou recebidas incorretamente em momentos críticos, os operadores das embarcações nucleares se comunicam de uma maneira prescrita. Aqueles que dão ordens ou instruções devem expressá-las claramente, e os destinatários devem repeti-las literalmente. A formalidade também significa estabelecer uma atmosfera de gravidade adequada, eliminando a conversa fiada e a familiaridade pessoal que podem levar à desatenção, suposições errôneas, etapas puladas ou outros erros. As violações de segurança cibernética causadas por erros humanos quase sempre envolvem a violação de um ou mais desses seis princípios. Aqui está um exemplo de alguns que o Departamento de Defesa descobriu durante exercícios de teste de rotina: Um oficial educado da equipe do quartel-general segurou a porta para outro oficial, que na verdade era um intruso portando um cartão de identificação falso. Uma vez lá dentro, o invasor poderia ter instalado malware na rede da organização. Princípios violados: conformidade com os procedimentos e atitude questionadora. Um administrador de sistemas, navegando na Web a partir de sua conta elevada, que tinha menos restrições automáticas, fez o download de um videoclipe popular que era "viral" em mais de um sentido. Princípios violados: integridade e conformidade processual. Uma funcionária clicou em um link de um e-mail que prometia descontos em compras on-line, o que, na verdade, era uma tentativa dos testadores de instalar um backdoor de phishing em sua estação de trabalho. Princípios violados: atitude questionadora, profundidade de conhecimento e conformidade com os procedimentos. Um novo administrador de rede instalou uma atualização sem ler o guia de implementação e sem supervisão. Como resultado, as atualizações de segurança anteriores ficaram "sem patch". Princípios violados: profundidade de conhecimento, conformidade com os procedimentos e backup forçado. Um help desk de rede redefiniu uma conexão em um escritório sem investigar por que a conexão havia sido desativada em primeiro lugar - mesmo que o motivo pudesse ter sido um desligamento automático para evitar a conexão de um computador ou usuário não autorizado. Princípios violados: conformidade processual e atitude questionadora. Criando uma organização de TI de alta confiabilidade Sem dúvida, cada organização é diferente. Portanto, os líderes precisam levar em conta dois fatores ao projetar a abordagem e o cronograma para transformar suas empresas em HROs com segurança cibernética. Um deles é o tipo de negócio e seu grau de vulnerabilidade a ataques. (Serviços financeiros, manufatura, serviços públicos e grandes empresas de varejo estão especialmente em risco). Outra é a natureza da força de trabalho. Uma força de trabalho criativa composta predominantemente pela geração do milênio, acostumada a trabalhar em casa com ferramentas de colaboração on-line, apresenta um desafio diferente dos funcionários de vendas ou manufatura acostumados a ambientes estruturados com muitas regras. É mais fácil criar uma cultura de regras para administradores de rede e pessoal de segurança cibernética do que para toda uma força de trabalho. No entanto, isso certamente é possível, mesmo que uma empresa tenha um grande número de funcionários e uma cultura estabelecida. Veja as muitas empresas que mudaram com sucesso suas culturas e abordagens operacionais para aumentar a qualidade, a segurança e a igualdade de oportunidades. Seja qual for a dinâmica de suas organizações, os líderes podem implementar uma série de medidas para incorporar os seis princípios nas rotinas diárias dos funcionários. Assumir o controle. Uma pesquisa recente realizada pela Universidade de Oxford e pelo Centro de Proteção da Infraestrutura Nacional do Reino Unido constatou que a preocupação com a segurança cibernética era significativamente menor entre os gerentes dentro do C-suite do que entre os gerentes fora dele. Essa falta de visão no topo é um problema sério, dadas as consequências financeiras dos ataques cibernéticos. Em um estudo de 2014 do Ponemon Institute, o custo médio anualizado do crime cibernético incorrido por uma amostra de referência de empresas dos EUA foi de US$ 12,7 milhões, um aumento de 96% em cinco anos. Enquanto isso, o tempo necessário para resolver um ataque cibernético aumentou em 33%, em média, e o custo médio incorrido para resolver um único ataque totalizou mais de US$ 1,6 milhão. O custo global anual do crime cibernético contra os consumidores é de US$ 113 bilhões. Fonte: Relatório Norton 2013, Symantec A realidade é que, se os CEOs não levarem a sério as ameaças à segurança cibernética, suas organizações também não o farão. O senhor pode apostar que Gregg Steinhafel, que foi demitido da Target em 2014 depois que os criminosos cibernéticos roubaram as informações de seus clientes, gostaria de ter feito isso. Os executivos-chefes sabem que é importante consolidar seu amontoado de sistemas de rede, como fez o Departamento de Defesa. Mas muitos não estão agindo com rapidez suficiente - sem dúvida, porque essa tarefa pode ser enorme e cara. Além de acelerar esse esforço, eles precisam reunir toda a equipe de liderança - gerência técnica e de linha e recursos humanos - para fazer com que as pessoas, os princípios e os sistemas de TI trabalhem juntos. Enfatizar repetidamente a importância das questões de segurança é fundamental. E os CEOs devem resistir às garantias gerais dos CIOs que afirmam que já estão adotando práticas de alta confiabilidade e dizem que tudo o que é necessário é um aumento no orçamento de segurança ou as mais novas ferramentas de segurança. Os CEOs devem fazer a si mesmos e às suas equipes de liderança perguntas difíceis sobre se estão fazendo todo o possível para criar e manter uma cultura de HRO. Os administradores de rede estão se certificando de que as funções de segurança dos sistemas estejam ativadas e atualizadas? Como são realizadas as auditorias pontuais de comportamento e o que acontece se for encontrado um lapso significativo? Quais programas de treinamento padronizados para os aspectos comportamentais e técnicos da segurança cibernética estão em vigor e com que frequência esses programas são atualizados? As tarefas mais importantes de segurança cibernética, inclusive a manipulação de configurações que podem expor o sistema, são realizadas formalmente, com o tipo certo de backup? Essencialmente, os CEOs devem se perguntar constantemente o que significam integridade, conhecimento profundo, conformidade processual, backup vigoroso, atitude questionadora e formalidade em suas organizações. Enquanto isso, os Conselhos Administrativos, em sua função de supervisão, devem perguntar se a gerência está levando em conta adequadamente a dimensão humana da defesa cibernética. (E, de fato, muitos estão começando a fazer isso). Tornar todos responsáveis. Os comandantes militares agora são responsabilizados pela boa administração da tecnologia da informação, assim como todos os demais. O Departamento de Defesa e o Comando Cibernético dos EUA estão estabelecendo um sistema de relatórios que permite que as unidades rastreiem suas violações e anomalias de segurança em um simples quadro de pontuação. Antes, as informações sobre quem cometeu um erro e sua gravidade eram conhecidas apenas pelos administradores do sistema, se é que eram rastreadas. Em breve, os comandantes seniores poderão monitorar o desempenho das unidades quase em tempo real, e esse desempenho será visível para pessoas em níveis muito mais altos. Teste o senhor mesmo O senhor é uma ameaça cibernética para a sua organização? O objetivo é fazer com que a segurança da rede seja uma prioridade diária para as tropas, assim como manter seus rifles limpos e operacionais. Todo membro de um serviço armado deve conhecer e cumprir as regras básicas de higiene da rede, inclusive aquelas destinadas a evitar que os usuários introduzam hardware potencialmente contaminado, façam download de software não autorizado, acessem um site que possa comprometer as redes ou sejam vítimas de e-mails de phishing. Quando uma regra é violada, especialmente se for uma questão de integridade, espera-se que os comandantes disciplinem o infrator. E se for encontrado um clima de complacência em uma unidade, o comandante será julgado de acordo. As empresas devem fazer o mesmo. Embora as mesmas medidas nem sempre estejam disponíveis para elas, todos os gerentes - do CEO em diante - devem ser responsáveis por garantir que seus subordinados sigam as práticas de segurança cibernética. Os gerentes devem entender que eles, juntamente com os funcionários em questão, serão responsabilizados. Todos os membros da organização devem reconhecer que são responsáveis por coisas que podem controlar. Essa não é a norma em muitas empresas. Instituir padrões uniformes e treinamento e certificação gerenciados de forma centralizada. O Comando Cibernético dos EUA desenvolveu padrões para garantir que qualquer pessoa que opere ou use uma rede militar seja certificada para isso, atenda a critérios específicos e seja treinada novamente em intervalos adequados. O pessoal das equipes dedicadas encarregadas de defender as redes passa por um extenso treinamento formal. Para esses profissionais da área cibernética, o Departamento de Defesa está adotando o modelo estabelecido pela marinha nuclear: instrução em sala de aula, estudo autônomo e, no final do processo, um exame formal com classificação. Para criar um canal amplo e profundo de defensores, as academias militares exigem que todos os participantes façam cursos de segurança cibernética. Duas academias oferecem um diploma principal em operações cibernéticas e duas oferecem diplomas secundários. Todos os serviços agora têm escolas para treinamento avançado e planos de carreira específicos para especialistas em segurança cibernética. Os militares também estão incorporando a segurança cibernética em programas de educação continuada para todo o pessoal. Por outro lado, relativamente poucas empresas têm um treinamento cibernético rigoroso para os funcionários e as que o fazem raramente o incrementam com cursos de atualização ou sessões de informação à medida que surgem novas ameaças. O simples envio de e-mails aos funcionários sobre novos riscos não é suficiente. A prática comum de exigir que todos os funcionários façam um curso anual que envolve passar uma ou duas horas revisando as políticas digitais, com um pequeno questionário após cada módulo, também não é suficiente. É certo que medidas mais intensas consomem tempo e distraem os negócios do dia a dia, mas são imperativas para empresas de todos os portes. Elas devem ser tão robustas quanto os programas de aplicação de práticas de ética e segurança, e as empresas devem monitorar a frequência. Afinal, basta apenas uma pessoa não treinada para causar uma violação. Associe a formalidade a um reforço vigoroso. Em 2014, as Forças Armadas dos EUA criaram uma construção que explicava detalhadamente sua estrutura de comando e controle cibernético, especificando quem é responsável pelo quê e em que níveis as configurações de segurança são gerenciadas e alteradas em resposta a eventos de segurança. Essa estrutura clara de relatórios e responsabilidades é apoiada por uma proteção extra: Quando são feitas atualizações de segurança em partes essenciais da rede do Departamento de Defesa ou quando os administradores de sistemas acessam áreas em que são armazenadas informações confidenciais, vigora uma regra de duas pessoas. Ambas as pessoas devem estar atentas à tarefa e concordar que ela foi executada corretamente. Isso acrescenta um grau extra de confiabilidade e reduz drasticamente o risco de ataques internos do tipo "lobo solitário". Michael Byers Não há motivo para que as empresas também não possam fazer essas coisas. A maioria das grandes empresas já reduziu agressivamente sua lista de usuários de sistema "privilegiados" e criou processos para retirar os direitos de acesso de contratados que deixam um projeto e de funcionários que deixam a empresa. As empresas de médio e pequeno porte devem fazer o mesmo. Uma forma de backup pode ser fornecida por um software barato e fácil de instalar que avisa os funcionários quando eles estão transferindo ou baixando informações confidenciais ou os impede de fazer isso e, em seguida, monitora suas ações. Lembrar regularmente aos funcionários que a adesão às regras de segurança é monitorada reforçará a cultura de alta confiabilidade. Verifique suas defesas. Em junho de 2015, o Comando Cibernético dos EUA e o Departamento de Defesa anunciaram testes operacionais abrangentes para administradores de rede e usuários. Os militares também estão estabelecendo padrões rigorosos para inspeções de segurança cibernética e coordenando rigorosamente as equipes que as conduzem. As empresas também devem seguir o exemplo. Embora muitas grandes empresas façam auditorias de segurança, elas geralmente se concentram na vulnerabilidade das redes a ataques externos e dão pouca atenção ao comportamento dos funcionários. Os CEOs devem considerar investir mais em recursos para testar práticas operacionais de TI e expandir o papel da função de auditoria interna para incluir tecnologia, práticas e cultura de segurança cibernética. (Consultores externos também podem prestar esse serviço). Além das auditorias programadas, as empresas devem fazer verificações aleatórias no local. Essas verificações são altamente eficazes para combater os atalhos e os comprometimentos que se infiltram no local de trabalho, como transferir material confidencial para um laptop não seguro para trabalhar em casa, usar serviços de nuvem pública para trocar informações confidenciais e compartilhar senhas com outros funcionários. É importante descobrir esse tipo de comportamento - e corrigi-lo - antes que resulte em um problema sério. Elimine o medo da honestidade e aumente as consequências da desonestidade. Os líderes devem tratar os erros ocasionais e não intencionais como oportunidades para corrigir os processos que permitiram que eles ocorressem. No entanto, não devem dar uma segunda chance às pessoas que violam intencionalmente as normas e os procedimentos. Edward Snowden conseguiu acessar informações confidenciais ao convencer outro funcionário civil a inserir sua senha na estação de trabalho de Snowden. Foi uma violação grave do protocolo, pela qual o funcionário foi demitido com razão. A TI fez com que muitos líderes militares percebessem que uma cultura operacional que enfatizasse a integridade, a atitude questionadora, o apoio enérgico e a conformidade com os procedimentos poderia ter criado um ambiente no qual Snowden teria sido impedido. Tal violação das regras teria sido impensável no departamento de reatores de um navio da marinha. O Departamento de Defesa está consolidando 15.000 redes em uma única arquitetura unificada. Fonte: U.S. Department of Defense (Departamento de Defesa dos EUA) Ao mesmo tempo, os funcionários devem ser incentivados a reconhecer seus erros inocentes. Quando os operadores de usinas de propulsão nuclear descobrem um erro, eles são condicionados a revelá-lo rapidamente a seus supervisores. Da mesma forma, um usuário da rede que inadvertidamente clica em um e-mail ou site suspeito deve ser condicionado a denunciá-lo sem medo de censura. Por fim, deve ser fácil para todos na organização fazer perguntas. Os operadores de usinas de propulsão são treinados para consultar imediatamente um supervisor quando se deparam com uma situação desconhecida e não sabem como lidar com ela. Da mesma forma, ao garantir que todos os funcionários possam obter prontamente ajuda de uma linha direta ou de seus gerentes, as empresas podem reduzir a tentação de adivinhar ou esperar que uma determinada ação seja segura. Sim, estamos exigindo uma abordagem muito mais formal e regimentada do que muitas empresas empregam atualmente. Com as ameaças cibernéticas representando um perigo claro e presente para empresas individuais e, por extensão, para a nação, não há alternativa. São necessárias regras e princípios para tapar os muitos buracos nas defesas cibernéticas dos Estados Unidos. As empresas não poderiam se concentrar apenas na proteção de suas joias da coroa? Primeiro, isso significaria vários padrões de segurança cibernética, o que seria difícil de gerenciar e, portanto, perigoso. Em segundo lugar, as joias da coroa geralmente não são o que o senhor pensa que são. (Pode-se argumentar que o vazamento de e-mails embaraçosos foi o aspecto mais prejudicial do ataque dos hackers norte-coreanos à Sony Pictures Entertainment). Por fim, muitas vezes os hackers podem obter acesso a dados ou sistemas altamente confidenciais por meio de um sistema aparentemente de baixo nível, como o e-mail. Uma empresa precisa de uma abordagem comum para proteger todos os seus dados. Capacidade técnica, excelência humana Na última década, a tecnologia de rede evoluiu de um simples utilitário que poderia ser considerado garantido para um importante, porém vulnerável, mecanismo de operações, cuja segurança é uma das principais prioridades corporativas. O número crescente de ataques cibernéticos deixou isso bem claro. A tecnologia, por si só, não pode defender uma rede. Reduzir os erros humanos é pelo menos tão importante, se não mais. Adotar os princípios que um almirante irascível implantou na marinha nuclear há mais de 60 anos é a maneira de fazer isso. A criação e o cultivo de uma cultura de alta confiabilidade exigirão a atenção pessoal dos CEOs e de seus conselhos, bem como investimentos substanciais em treinamento e supervisão. A segurança cibernética não será barata. Mas esses investimentos devem ser feitos. A segurança e a viabilidade das empresas - bem como as economias das nações em que elas fazem negócios - dependem disso.

O fator humano da segurança cibernética: Lições do Pentágono

Resumo.

Partner Center